Vrste enkripcija i zatita beinog mrenog sustava

Kremer

Darijan

Pojmovi Internet protokola (IP) 5. Aplikacijski sloj

Uvod u beine mree

Wi-Fi

DHCP DNS FTP HTTP IMAP4 IRC MIME POP3 SIP SMTP SNMP SSH TELNET TLS/SSL BGP RPC RTP RTCP SDP SOAP
4. Prijenosni sloj

TCP UDP DCCP SCTP

3. Mreni sloj

IP (IPv4 IPv6) ARP ICMP IGMP RSVP IGP RARP

2. Podatkovni sloj

Wi-Fi, Wireless-Fidelity (IEEE 802.11) je beina mrea gdje se 1. Fiziki sloj podaci imeu dva ili vie Bluetooth RF Fiziki Ethernet nivo raunara prenose pomou radio ISDN Modemi RS232 SONET/SDH frekvencija (RF) i odgovarajuih antena. Najee se koristi u LAN USB Wi-Fi mreama (WLAN), ali se u posljednje vrijeme sve vie nudi i beini pristup WAN mrei - internetu. WiFi je brand Wi-Fi Alianse koja propisuje standarde i izdaje certifikate za sve Wi-Fi ureaje. Wi-Fi je 1991 godine izumila NCR Korporacija/AT&T u Nieuwegeinu, Nizozemska. Prva mrea se zvala WaveLAN i radila je na brzinama od 1 do 2 Mbit/s. Ocem WiFi-a se smatra Vic Hayes iji je tim osmislio standarde za Wi-Fi kao to su IEEE 802.11b, 802.11a i 802.11g.

ATM Bluetooth DTM Ethernet FDDI Frame relay GPRS Modemi PPP Wi-Fi

Nain rada
Wi-Fi mree rade uz pomo veoma jednostavne radio tehnologije, jedina razlika je to to se radio signali pretvaraju u nule i jedinice. Slanje podataka preko radia nije novina jer se i Morzeov kod binarno prenosio bez ica, no RF tehnologija je mnogo unaprijeena od vremena Morzeovog koda, tako da je opseg informacija koje je mogue poslati pomou radio frekvencija neuporediv. Upravo je WiFi prvi iskoristio dobru propusnost i jednostavnost radio signala. WiFi radiji alju signale na frekvencijama 2.4 GHz (802.11b i 802.11g standardi) i 5 GHz (802.11a), gdje se koriste mnogo naprednije tehnike kodiranja kao to su OFDM (orthogonal frequency-division multiplexing) i CCK (Complementary Code Keying) pomou kojih se ostvaruju mnogo vee brzine prijenosa podataka samo uz pomo radio valova. Razlog to se ove frekvencije koriste jest to su ostale neiskoritene od strane raznih armija ali i ostalih korisnika koje koriste zasebne frekvencije za komuniciranje. Sva radio tehnologija se nalazi u WIFi karticama koje ugraujemo u raunar (neki noviji laptopi kartice imaju ve ugraene), i to je praktino sve to treba za beino umreavanje. Zbog toga se beino umreavanje smatra jednim od najjednostavnijih trenutno u ponudi, a dodatni razlog je to uklanja potrebu za kablovima i ostalim mrenim ureajima. Jedino to
2

korisniku preostaje je da se prikopa na tzv. hotspot, odnosno vorite gdje se spajaju ostali korisnici. Obino se radi o manjoj kutiji u kojoj se nalazi WiFi radio koji komunicira sa ostalim korisnicima, i najee je to vorite prikopano na Internet. Takva vorita se ve mogu vidjeti u razvijenim gradovima na nekim prometnim mjestima kao to su parkovi ili aerodromi, tako da je mogue imati beini pristup internetu uz laptop. Ponekad se dogodi mijeanje signala na 2.4 GHz frekvencijama, najee sa beinim telefonima i Bluetooth ureajima koji koriste istu frekvenciju.

WAP-4000, primjer jednog Access pointa

MAC adresa
U raunarskim mreama Media Acces Control adresa ili jednostavno MAC adresa je jedinstven oznaiva ili klju koji se nalazi u skoro svim mrenim ureajima. Veina protokola iz drugog OSI sloja koristi jedno od tri mjesta koje nadgleda IEE: MAC-48, EUI-48 i EUI-64, koji su dizajnirani da budu globalno jedinstveni.

Beino umreavanje

Primjer jednostavne WiFi LAN mree koja moe ukljuivati obini raunar, laptop, printer, WiFi router, i u isto vrijeme biti prikljuen na internet putem nekog modema.

Beino (en. Wireless) umreavanje je vjerovatno najjednostavniji nain umreavanja, nudi srednju brzinu, ne zahtijeva dodatne kablove, ali je i relativno skuplji od ostalih naina umreavanja, iako cijena WiFi ureaja konstantno pada. Beino umreavanje je najjednjostavnije uz WiFi tehnologiju, gdje nam je samo potrebna WiFi kartica (interna (PCI i PCMCIA) ili vanjska (USB)) u dva ili vie raunara da bi se isti umreili. Obino u kartice doe integrisana antena koja je dovoljna za manje mree, no mogue je koristiti i bolje, vanjske antene koje pojaavaju signal. Za prikljuivanje na neku mreu potreban je tzv. Hotspot, odnosno vorite na koji se spajaju svi ostali korisnici. Ako je mrea osigurana ona e traiti WEP ili noviji WPA (2) klju, a ako je slobodna onda nema nikakvih ogranienja za spajanje. Svako moe biti hotspot, jedino umjesto obine kartice je potrebno kupiti Wireless Acces Point koji nudi pokrivenost od oko 30 metara, dok je uz razne pojaavae mogue bitno proiriti pokrivenost. Najskuplja varijanta, ali ona najbolja, je uzeti Wireless Access Point Router koji sadri prikljuak za DSL modem, Router, Ethernet Hub, Firewall i Access Point. Uz sve to mogue na samo taj ureaj prikljuiti jednu Ethernet mreu na koju e biti prikljueni korisnici sa WiFi karticama, te svi zajedno imati pristup internetu putem DSL modema. Problem kod beinih WiFi mrea je to mogu biti nesigurne, pogotovu starije mree sa WEP provjerom koja je nesigurnija od WPA i WPA 2 enkripcije podataka. Osim toga WiFi ureaji troe malo vie struje od standardnih ureaja za raunarske mree.

Sigurnost
Za razliku od ianih mrea gdje se pristup moe ograniiti fiziki, kod beinih mrea temeljnih na Wi-Fi standardu je mnogo tea kontrola i nadgledanje korisnika. Praktino, na beinu mreu se moe spojiti bilo ko ima WiFi karticu i neku vrstu antene. Rjeenje je u enkripciji podataka, a veina Pristupnih taaka ima ugraenu enkripciju. Prva generacija enkripcije WEP se pokazala kao veoma lakom za probiti, dok se novije WPA i WPA2 smatraju dosta sigurnim, uz odgovarajuu ifru.

Vrste enkripcija

Service set identifier (SSID)

U Wi-Fi Wireless LAN computer networking, service set identifier (SSID) je kod koji je spojen na sve odlazne pakete na vaj beinoj mrei kako bi identificirao svaki paket kao dio mree. Kod se sastoji od stringa koji sadri 1-32 okteta. Svi beini ureaji koji pokuavaju komunicirati meusobno moraju dijeliti isti SSID. Osim to slui za identificiranje svakog paketa SSID takoer slui da unikatno identificira grupu beinih mrea ureaja koritenih pod "Service Set". Postoje dvije varijante SSID.

Ad-hoc beine mree (IBSS) koje se sastoje od klijentskih maina bez access point-a i one koriste IBSS ID (Independent Basic Service Set Identifier) Infrastrukturne mree koje ukljuuju access point (BSS ili ESS)koriste BSS ID ili ESS ID (E za Extended).

SSID na beinim posluiteljima mogu biti podeeni manualno, unoenjem SSID u mrene postavke, ili automatski, ostavljajui SSID neodreenim ili praznim. Network administrator esto koristi javni SSID, koji je podeen na access pointu i broadcast-a svim beinim ureajima u dohvatu.

SSID bez broadcast-a

Iskljuivanje SSID je vrlo loe za sigurnost beine mree. Korisniku, ovisni o beinom softveru, mrea se nee pojaviti ili e biti prikazana kao "Unnamed Network". U svakom sluaju, mora se manualno unijeti ispravan SSID kako bi se spojio na mreu. Ova metoda nije sigurna, zato to svaki puta kada se netko spoji na mreu, SSID se prenosi u cleartext-u ,bez obzira da li je konekcija enkriptirana. Netko moe bez problema pasivno sniffati beini promet neprimjeen i ekati da se netko spoji, otkrivajui svoj SSID. Alternativno ima brih metoda gdje cracker trai "disassociate frame" dok dolazi iz beinog router-a i alje ga jednom od klijenata; klijent e se odmah re-connect-ati, otkrivajui svoj SSID. Ovo definitvno ne bi trebala biti jedina zatita vae beine mree. Druge vrste enkripcija i autentifikacije takoer treba koristiti, WEP u svakom sluaju ili jo bolje neku vrstu WPA.

U stvari, mnogi sigurnosni strunjaci smatraju da iskljuivanje SSID broadcast- a je sigurnosni propust. Access pointovi moda vie ne broadcast-aju SSID ali svaki klijent koji ima podeenu mreu da se automatski spaja sada alje pakete sa zahtjevom za konekciju zajedno sa mrenim SSID pokuavajui locirati i spojiti se na mreu.

Danas, neki beini access point-ovi iskljuuju automatski SSID broadcast mogunost u pokuaju da unaprijede sigurnost vae mree. Napredni beini access point-ovi podravaju broadcasting multiple SSIDs, dozvoljavajui kreiranje Virtual Access Points particioniranje jednog fizikog access pointa u nekoliko logikih access point-ova. Gdje svaki od njih moe imati razliite postavke sigurnosti i mree. SSID Client Isolation zabranjuje beinim klijentima u istom subnet-u da komuniciraju direktno jedan sa drugim i na taj nain zaobilaze firewall.

Wired Equivalent Privacy

Wired Equivalent Privacy (WEP) je algoritam pun mana koji slui za osiguravanje IEEE 802.11 beinih mrea. Beine mree broadcast-aju poruke koristei radio, pa su vie podrobne prislukivanju nego ine mree. Predtavljen 1999, WEP je trebao pruiti sigurnost slinu onoj na tradicionalnim ianim mreama. Poetkom 2001, otkriveno je nekoliko ozbiljnih slabosti pomou kriptoanalitiara, sa rezultatima kojim danas WEP konekciju moe probiti i itati u roku par minuta sa odgovarajuim softverom. U nekoliko mjeseci IEEE je kreirao novi 802.11i standard da se suprostavi problemima. Do 2003, Wi-Fi Alliance je najavio da je WEP dobio nasljednika zvanog Wi-Fi Protected Access (WPA), koji je bio podset nadolazeem 802.11i amandmanu. Napokon 2004, IEEE je objavio da oba WEP-40 i WEP-104 su odbaeni jer nisu uspjeli ostvariti svoje sigurnosne cilljeve sa implementacijom punog 802.11i standarda (znanog kao WPA2). Unato svojim slabostima, WEP je danas najrairenija enkripcija jer prua osnovnu sigurnosnu zatitu protiv veine korisnika koji sluajnu upadnu na neiju mreu. WEP se ponekad netono zamjenjuje za Wireless Encryption Protocol.

Encryption detalji
WEP je ukljuen kao zatita u originalnom IEEE 802.11 standardu ratificiranog u studenom 1999. WEP koristi stream kodiranje RC4 za privatnost i CRC-32 checksum za integritet.

Standard 64-bit WEP koristi 40 bit key (klju) (znan kao WEP-40), koji koristi 24-bit inicijalizator vektora (IV) kako bi oformio RC4 traffic key (klju). U to vrijeme originalni WEP standard se uglavnom koristio. U.S. vlada ograniila je veliinu kljua. Kada su restrikcije maknute, svi vei proizvoai su implementirali produeni 128-bit WEP protokol koristei 104-bit key (klju) veliinu (WEP104). 128-bit WEP key (klju) je gotovo uvijek unoen od strane korisnika kao string od 26 Hexadecimalnih (Hex) znakova (0-9 i A-F). Svaki znak predstavlja 4 bita od key (klju). 4 26 = 104 bita; dodajui 24-bita IV donosi nam, to zovemo "128-bit WEP key (klju)". A 256-bit WEP system je dostupan od nekih vendora. Sa gore navedenim sistemom, 24 bita od toga je za I.V., ostavljajui 232 svarnih bitova za zatitu. Ovo se tipino unosi sa 58 Hexadecimalnih znakova. (58 4 = 232 bits) + 24 I.V. bits = 256 bita od WEP zatite. Key (klju) veliina nije jedino sigurnosno ogranienje u WEP-u. Krakiranje dueg key-a (klju) zahtjeva presretanje vie paketa, ali postoje aktivni napadi koji stimuliraju neeljen promet. Postoje i druge slabosti u WEP-u, ukljuujui mogunost od IV kolizije i promijenjenih paketa kojima ne pomae nimalo dulji key (klju). Npr stream cipher attack.

Autentifikacija
Dvije metode autentifikacije se mogu koristiti kod WEP-a: Open System authentication i Shared Key (klju) authentication. Kada govorimo o WEP autentifikaciji, govorimo o infrastrukturnom modu ( izmeu WLAN klijenta i Access Pointa), ali diskusija se moe primijeniti i na Ad-Hoc mode. Kod autentifikacije otvorenog sistema, WLAN klijent ne smije pruiti svoje isprave Access Pointu prilikom autentifikacije. Bilo koji klijent bez obzira na njegov WEP key (klju), moe autentificirati sam sebe sa Access Point-om i onda pokuati pridruiti. Poslije autentifikacije i pridruivanja, WEP se moe
8

koristiti za enkripciju podatkovnih okvira. U ovom trenutku, klijent mora imati pravi klju. Kod Shared Key (kljua) autentifikacije, WEP se koristi za autentifikaciju. Koristi se etverosmjerni challenge-response handshake. I) Klijentska postaja alje autentifikacijski zahtjev prema Access Point. II) Access Point alje natrag clear-text challenge. III) Klijent mora enkriptirati challenge text koristei konfigurirani WEP key (klju) i poslati ga natrag u drugom autentifikacijskom zahtjevu. IV) Access Point dekriptira materijal i usporeuje ga sa clear-text kojeg je poslao. Ovisno o uspjenosti ove usporedbe, Access Point alje natrag pozitivan ili negativan odgovor. Poslije autentifikacije i pridruivanja, WEP se moe koristiti za enkripciju podatkovnih okvira. Na prvi pogled se ini da Shared Key (klju) autentifikacija je vie sigurna nego Open System autentifikacija. No ipak je obrnuto. Mogue je stvoriti static WEP key (klju) hvaanjem etiri handshake okvira u Shared Key (klju) autentifikaciji. Preporuljivo je koristiti Open System autentifikaciju za WEP autentifikaciju. Ali obe autentifikacije su vrlo slabe.

Remedies
Koritenje enkriptiranog tunelskog protokola ( IPSec, Secure Shell) moe pruiti siguran prijenos podataka preko nesigurne mree. No, zamjene za WEP su prvotno razvijane sa ciljem kako bi se povratila sigurnost same beine mree.

802.11i (WPA and WPA2)

Preporuena solucija za WEP sigurnosne probleme je prebacivanje na WPA2 ili na ako nita drugo, na WPA. Bilo koja je sigurnija od WEP. Kako bi dodali WPA or WPA2, neki stariji Wi-Fi access pointovi e morati nadograditi svoj firmware.

Implementiranje ne-standarnih ispravaka

WEP2

Poboljanje WEP-a je bilo predstavljeno u ranim verzijama 802.11i standarda, koji se mogao implementirati na neke (ne sve) hardvere koji nisu mogli rukovati sa WPA ili WPA2, a bazirao se na:

IV vrijednost od 128 bita Key (klju) od 128-bita. 9

Kada je postalo jasno da WEP algoritam je pun mana (ne samo key (klju) veliina), ovo je izbaeno iz standarda.
WEPplus

Jo znan kao WEP+. Dodatno poboljanje WEP-a od Agere Systems (bive podrunice od Lucent Technologies). To poboljava WEP sigurnost izbjegavajui "slabe IV". Efektivan je jedino kada se WEPplus koristi na oba dvije strane beine konekcije. Kako ovo nije lako ostvarivo, postaje ozbiljna limitacija.
Dynamic WEP

Promjena WEP key (klju) dinamino. Tu mogunost pruaju samo pojedini vendori kao to su 3Com. Dinamina promjena je implementirana u 802.11i kao dio TKIP, ali i ne stvarnog WEP algoritma.

Kako zatiti vau beinu mreu?

Uvod
Prijeite miem preko vae wlan konekcije na donjem desnom kutu vaeg ekrana. Pokazat e ime vae beine mree. Ako ste kao 80 posto wlan korisnika, beina mrea na koju ste spojeni biti e nazvana neto kao Linksys (Unsecured) ili Default (Unsecured). Nezatiena beina mrea je otvorena pozivnica hakerima da uetaju u vae raunalo i ukradu vae osobne informacije, uploadaju malware na vae raunalo, i teroriziraju vas. Na sreu, postavljanje zatite na vau wlan konekciju je vrlo jednostavno.Navest emo desetak preliminarnih postupaka kako bi zatitili vau mreu.

Promjena administratorske lozinke i korisnikog imena

Kada ste izvadili va Wlan router iz kutije i poeli ga podeavati, biti e te pitani da upiete specifinu web stranicu i da morate unijeti podatke poput vae mrene adrese i account informacije. U teoriji ta wlan setup stranica je zatiena sa loginom (korisniko ime i lozinka).

10

Problem : korisniko ime i lozinka su namijenjeni da vam omogue pristup vaem Wlan setup-u i da osobne informacije koje ste unijeli. Ali injenica ostaje da loginovi koji su vam prueni su uobiajeno dani bilo kome sa istim modelom routera i zbog toga veina ljudi ih nikada ne mijenja. Tako postaju laka meta za hakere i one koji kradu identitete. Ustvari, postoje stranice koje sadrze liste default korisnikih imena i lozinaka za wireless routere, te tako omoguavajui hakerima jo laki posao.

Rjeenje: Promijenite korisniko ime i lozinku za vau beine postavke odmah nakon vaeg prvog logina. Ako ve postavljate drugu lozinku, potrudite se da ju je teko pogoditi. Vae ime, prezime, datum roenja, godinjica, ime vaeg djeteta, ime kunog ljubimca i slino e biti za hakera prvi pokuaji za probijanje vae sigurnosti. Mnogi hakeri koriste metodu za probijanje ifri koja se zove dictionary hacking. To je u biti program koji koristi najkoritenije rijei iz jezika kao lozinke. Zato se potrudite da lozinka nije uobiajena rije, nego da bude kombinacija slova, brojeva i znakova.

Postavljanje vae beine enkripcije

Ako informacija koja je slana preko vae beine mree nije adekvatno enkriptirana, haker moe vrlo lako upasti u vau mreu i motriti vae aktivnosti. Kada upisujete osobne ili financijske (npr. Br. PIN-a) na neku WEB stranicu, haker moe ukrasti te informacije i iskoristiti ih kako bi vam ukrao identitet. Stari enkripcijski standard Wired Equivalent Privacy (WEP), moe biti hakiran u roku od 30 sekundi, bez obzira na kompleksnost vae lozinke. Na nesreu, milijuni korisnika beinih mrea jo koristi WEP enkripciju za svoje informacije, makar postoji mnogo superiorniji WPA2 enkripcijski standard. Problem: Bez obzira na superiorniju enkripciju koju WPA2 prea, veina Wifi kunih korisnika nisu nadogradili svoju zatitu jer nisu svjesni problema ili nisu dovoljno informatiki obrazovani da bi sami podesili. Kao rezultat, mnogi i dalje koriste WEP enkripciju koju je danas vrlo lako zaobii. Rjeenje: je naravno da nadogradite svoju enkripciju na WPA2. Ali prije negoli moete dodati WPA2 protekciju, morati ete napraviti par koraka kako bi nadogradili vae raunalo. Prvi korak je da skinete i instalirate Microsoft's WPA2 hotfix za Windows XP. Najvjerojatnije ete morati i nadograditi svoje drivere za beinu karticu. 11

Sada ete morati podesiti svoj router preko njegove administratorske stranice . Kada se logirate, promijenite sigurnosne postavke na WPA2 Personal i odaberite algoritam TKIP+AES. Naposlijetku, unesite lozinku u Shared Key (klju) polje i pohranite svoje promjene.

Mijenjanje Default System ID-a

Kada dobijete svoj Linksys ili D-Link (ili neki drugi) router od providera i podesite ga, vidjet ete da je doao sa default system ID koji se zove SSID (Service Set Identifier). Ovaj ID se esto referira kao i vae ime beine mree. Problem: Proizvoai dodjeljuju identine SSID postavke svojim ureajima i 80% korisnika beinih mrea imaju svoje beine sisteme nazvane Default ili LinkSys . Ili bilo koje ime koje vam va provider dodijeli kao default ime. Problem sa ovim default postavkama jest da olakavaju posao hakerima koji krue susjedstvom traei beine mree koje mogu hakirati. Poto znajui za va SSID ne dozvoljava nikom da upadne lako u vau mreu ali ostavlja dobar indikator da niste poduzeli nikakve korake da zatitite prikladno vau mreu, jer te mree su najee mete napada.

Rjeenje: Promijenite default SSID kada konfigurirate va LAN. Ovo nee u potpunosti zatiti vau mreu, ali e vas razlikovati od drugih nezatienih mrea i obeshrabriti hakere da se namjere na vas. Takoer se neete zabuniti pri konekciji na mreu i sluajno se spojiti na susjedovu mreu istog naziva.

MAC Address filtriranje

Ako ste imali nezatienu mreu u prolosti, moete biti poprilino sigurni da bar jedan od vaih susjeda koristi vau beinu mreu kako bi se spojio na internet . Kraa tueg internet prometa je moralno i legalno upitna, a jo pitanje je koliko moe tete napraviti vaem raunalu. Kako bi saznali tko se sve spajao na vau mreu morati ete provjeriti MAC address. Svakom Wifi ureaju je dodijeljen unikatan kod koji ga identificira i zove 12

se "physical address" ili "MAC address." Va Wifi sistem automatski biljei MAC adrese za sve ureaje koji se spajaju na njega.

Problem: Niste sigurni tko pristupa vaoj wifi mrei i kada saznate da se netko spaja na vau mreu, elite ga sprijeiti, zar ne? Ali kako?

Rjeenje: Provjera MAC adresa dati e vam brz pogled na ureaje koji se spajaju na vau wifi mreu. Sve to nije vae e te htjeti zabraniti pristup. Da to napravite, morati ete manualno unesti kod MAC adrese vae kune opreme. Tako e mrea dozvoliti pristup samo navedenim MAC adresama vaih ureaja. Pa e na taj nain vai pohlepni susjedi ostati bez besplatnog interneta. Ova solucija nije najbolje rjeenje ali e definitivno zaustaviti vaeg susjeda i hakera amatera. Profesionalni hakeri koriste napredne softverske programe da lairaju MAC adresu.

Prestanite Publicly Broadcast vae mree

Do sada ste promijenili ime vaeg wifi-a tako da hakeri nemogu vidjeti default ime dok pretrauju nezatiene mree. Ali ne bi li bilo najbolje da haker i znatieljni susjedi ne vide vau mreu uope. Uobiajeno, va access point ili router je programiran da radi broadcast imena mree (SSID) preko zraka u regularnim intervalima. Prilikom broadcasta nuno je za poslovne i mobilne hotspots dozvoliti ljudima da nau mreu na koju bi se spojili, ali nije potreban kod kune mree, stoga je ugasite.

Problem: Zato raditi broadcast cijelom susjedstvu da imate beinu mreu? To ve vi znate, a zato bi to trebali znati i stranci? Za veinu osobnih korisnika, bolje je bez ove opcije zato to poveava vjerojatnost neeljenog upada susjeda ili hakera da se ulogira na vau kunu mreu. Broadcast je kao pozivnica hakerima koji trae priliku.

Rjeenje: 13

Veina wifi access pointova dozvoljava SSID broadcast opciju da bude iskljuena od strane mrenog administratora. Veina tutoriala kako iskljuiti va broadcast moete nai na web stranicama proizvoaa vaeg routera.

Auto-Connect da otvorite vau Wifi mreu?

Veina raunala doputa da se automatski spojite na bilo koju otvorenu wifi mreu bez ikakve obavijesti. Poto ova postavk a nije defaultna , mnogi pojedinci odaberu ovu opciju zato jer im se lake i bre spojiti na mreu ako putuju ili se spajaju na prijateljevu mreu kako bi igrali igre ili surfali internetom. Jo je uobiajenije da imaju ukljuenu postavku da se spoje automatski na mreu na koju se stalno spajaju. Opet, to ima smisla, poto veina korisnika ne eli manualno utipkavati ime svoje beine mree na koju se ele spojiti. Na alost oba dvije navedene postavke predstavljaju velike sigurnosne propuste. Problem: Ako se spajate na na bilo koju raspoloivu mreu automatski, naposlijetku ete se spojiti na neku lanu beinu mreu koja je dizajnirana da ulovi naivnog korisnika i hakira njegovo raunalo. Slino, ako se automatski spajate na uobiajene regularne veze (ne upisujete manualno ime vae mree, korisniko ime i lozinku svaki put) onda najvjerovatnije radite sigurnosni propust. To je zato to 80% korisnika ne mijenja default ime beine mree.

Rjeenje: Nemojte odabrati navedene opcije. Ili ako su ve odabrane neka va router ili access point bude podeen nekim unikatnim imenom, a ne defaultnim kako je objanjeno u primjeru prije.

Imate ugraeni firewall, koristite ga!

Vaa sigurnost treba imati vie slojeva. Jedan od bitnih slojeva zatite jest koritenje firewall-a koji je ugraen u va router, kao i koritenje firewall-a na vaem osobnom raunalu.

Problem: 14

Router dolazi sa ugraenom opcijom firewall-a na samom routeru. Ali neiskusni korisnici ga mogu sluajno iskljuiti pri podeavanju.

Rjeenje: Osigurajte se da je opcija firewall na routeru ukljuena, zajedno sa ugraenom sigurnosnom funkcijom koja blokira anonimne internet zahtjeve ili ping-ove. Ovaj dodatni korak e pomoi sakrivanju vae mree prema internetu i na taj nain pomoi u osiguravanju vae mree. Uostalom tee je hakeru infiltrirati u ono to nemoe nai.

Pozicioniranje routera ili access pointa

Wifi signal nezna gdje vaa kua zavrava, a gdje susjedova poinje. Najidealnije rjeenje bi bilo kada bi beini signal vaeg beinog routera pokrivao samo vau kuu ili stan. Problem: Dok malo istjecanje vaeg wifi signala izvan vaeg posjeda nije neki problem, vano je imati na umu da to istjecanje signala je svedeno na minimum. To je vano zato jer to dalje va signal dohvaa u vae susjedstvo, to je lake otkriti i iskoristiti vau mreu.

Rjeenje: Ako jo niste instalirali svoju beinu kunu mreu, budite sigurni da pozicija vaeg routera ili access pointa se nalazi u centru vaeg doma, a ne u blizini prozora. Ako ivite u stanu , uzmite u obzir da wifi mrea je ograniena preprekama i materijalima kroz koje mora proi. Vie zidova, vrata i metala kroz koje signal prolazi gubi na svojoj jaini. Ako je vaa namjera da ograniite signal samo na va dom iili posjed uzmite u obzir da montirate va wifi u ormar kako bi smanjili intenzitet signala.

Kada iskljuiti vau mreu

Veina nas zna da nije praktino stalno paliti i gasiti ureaje. Imati beinu mreu je velikim dijelom praktino, ali ako je morate stalno gasiti i paliti to i ba nije. Na nesreu , beina konekcija jest ranjiva kada je ukljuena. Stoga, gaenje vae beine mree kada je ne koristite uvelike pomae vaoj sigurnosti.

Problem: Odluka izmeu praktinog i stalnog ukljuivanja i iskljuivanja vae wifi konekcije uvijek zavri na strani praktinog. 15

Rjeenje: Kao to uzimate dodatne sigurnosne mjere kad idete npr. na ljetovanje, odmor , pa zamolite susjeda da vam zalije cvijee i pripazi na kuu ili stan, tako i primijenite dodatne sigurnosne mjere koje se odnose na vau beinu mreu ako je neete koristiti dui period vremena. Gaenje mree je osnovna ali i efektivna sigurnosna mjera koja moe zatiti vau mreu dok niste u blizini da ju sami zatitite. A i hakeri mogu iskoristiti ovu mogunost ugnijezde svoj napad.

Stavljanje vaih poboljanja na test

Sada kada ste napravili sve ove promjene na vaoj beinoj mrei, bilo bi dobro da znate da li to sve funkcionira. Na nesreu, jedini sigurni test jest da ekate i vidite da li ete biti hakirani. Ali to definitivno nije najbolja odluka da testirate vau sigurnost. Postoji nekoliko programa za testiranje sigurnosti vae mree.

Problem: Prosjeni kuni wifi korisnik nema dovoljno znanja o hakiranju da bi stavio svoju mreu na test kako bi saznao da su promjene koje je napravio uistinu funkcioniraju.

Rjeenje: Netstumbler program. Ovaj program e odrediti sve ranjivosti vae beine mree i neovlatene access pointove. Kao dodatak ova aplikacija e takoer otkriti izvore koji ometaju vau mreu kao i jakost vaeg signala. Tako da moete poboljati jakost vaeg wifi signala. Netstumbler je besplatan download http://www.pcworld.com/downloads/file/fid,23439-order,1-page,1c,alldownloads/description.html?findid=51212# Makar ako se program pokae korisniku, moe donirati autoru kako bi podrao njegov rad.

16

Zavrna rije:
Ovaj seminar bi trebao pomoi pri osnovnom osiguravanju vae beine mree od veine napada. Izostavio sam jo nekoliko efektivnih mjera poput: limitiranje intranetwork file sharing, mjenjanje default IP adrese vaeg beinog routera, dodjeljivanje statine IP adrese za svaki od vaih osobnih raunala, iskljuivanje DMZ i remote managment mogunosti.

17